Предупреждение о безопасности: Скрипт ClawProxy похитил API-ключи, что привело к значительному счету от OpenRouter

✍️ OpenClawRadar📅 Опубликовано: 22 марта 2026 г.🔗 Source
Предупреждение о безопасности: Скрипт ClawProxy похитил API-ключи, что привело к значительному счету от OpenRouter
Ad

Что произошло

Разработчик купил и установил скрипт ClawProxy от пользователя Reddit на то, что он считал безопасной, изолированной средой. Система представляла собой "достаточно защищённую версию 3.13, работающую на WSL Ubuntu 24.04 внутри Windows 11 miniPC", где ничего больше не работало намеренно, как в песочнице.

Ключевые детали инцидента

  • Установка представляла собой закрытый исходный код скриптовой установки.
  • Прокси-сервис был виден на локальном порту через веб-интерфейс.
  • Разработчик поместил ключи API провайдеров вывода в прокси-сервис, включая один ключ OpenRouter, который разрешал платные запросы моделей.
  • Этот ключ OpenRouter нигде больше не использовался.
  • На следующий день разработчик проснулся с крупным счётом от OpenRouter.
  • Ключ API OpenRouter был использован Google Vertex API в качестве прокси трафика, что предотвратило отслеживание через OpenRouter для выявления источника.
  • Использование было для Opus 4.6 за ночь, что описывается как "очень умная афера".
  • Затраты были значительными и невозвратными.
Ad

Последствия и тревожные сигналы

  • Разработчик немедленно удалил прокси и связался с продавцом.
  • Продавец обвинил разработчика в "небезопасной среде" с оскорбительным отношением.
  • Разработчик понял, что продукт, вероятно, был преднамеренным похитителем ключей.
  • При попытке повторно скачать пакет для проверки распределённый git был закрыт.
  • Продавец отказался предоставить исходный код, заявив, что он является собственностью, и упомянул "новую версию" — что подтвердило подозрения.
  • Разработчик запросил возврат средств, но не ожидает его получить.

Вывод по безопасности

Разработчик подчёркивает: «НЕ ДОВЕРЯЙТЕ СВОИ УЧЕТНЫЕ ДАННЫЕ ИЛИ КЛЮЧИ ЛЮБОМУ ЧЕЛОВЕКУ ИЛИ ОРГАНИЗАЦИИ, КОТОРЫХ ВЫ НЕ МОЖЕТЕ ПРИВЛЕЧЬ К ОТВЕТСТВЕННОСТИ, ЕСЛИ ОНИ СОВЕРШАТ ЗЛОНАМЕРЕННЫЕ ДЕЙСТВИЯ.» Это включает установку потенциально крадущего ключи программного обеспечения, даже на то, что кажется безопасной, изолированной системой.

📖 Read the full source: r/openclaw

Ad

👀 Смотрите также

Уязвимости безопасности OpenClaw: Критические недостатки фреймворка устранены в версии 2026.3.28.
Безопасность

Уязвимости безопасности OpenClaw: Критические недостатки фреймворка устранены в версии 2026.3.28.

Лаборатория безопасности Ant AI выявила 33 уязвимости в базовом фреймворке OpenClaw, из которых 8 критических проблем были исправлены в релизе 2026.3.28. Уязвимости включают обход песочницы, повышение привилегий, сохранение сессии после отзыва токена, риски SSRF и деградацию списка разрешений.

OpenClawRadar
Слепая повязка: Плагин, который не позволяет коду Claude читать ваши .env файлы
Безопасность

Слепая повязка: Плагин, который не позволяет коду Claude читать ваши .env файлы

Blindfold — это новый плагин, который предотвращает доступ Claude Code к реальным секретным значениям в .env-файлах, сохраняя их в системном хранилище ключей и используя заполнители вроде {{STRIPE_KEY}}, с перехватчиками, блокирующими попытки прямого доступа.

OpenClawRadar
Критические уязвимости безопасности OpenClaw устранены в версии 2026.3.28.
Безопасность

Критические уязвимости безопасности OpenClaw устранены в версии 2026.3.28.

Версия OpenClaw 2026.3.28 исправляет 8 критических уязвимостей в системе безопасности, обнаруженных Ant AI Security Lab, включая обход песочницы, повышение привилегий и риски SSRF. Пользователям версий ≤2026.3.24 следует немедленно обновиться.

OpenClawRadar
LiteLLM v1.82.8 Компрометация использует файл .pth для постоянного выполнения
Безопасность

LiteLLM v1.82.8 Компрометация использует файл .pth для постоянного выполнения

LiteLLM v1.82.8 была скомпрометирована на PyPI и содержит файл .pth, который выполняет произвольный код при каждом запуске процесса Python, а не только при импорте библиотеки. Полезная нагрузка выполняется даже если LiteLLM установлена как транзитивная зависимость и никогда не используется напрямую.

OpenClawRadar